XXXX年3月13日TA、TD培訓文檔_TOPSEC

1、內(nèi)容行為審計系統(tǒng)TopAudit-Watch第1頁，共35頁。主要內(nèi)容TA-W產(chǎn)品簡介數(shù)據(jù)處理過程主要功能配置與管理第2頁，共35頁。TA-W產(chǎn)品簡介第3頁，共35頁。產(chǎn)品需求客戶通常需要對網(wǎng)絡(luò)行為的內(nèi)容進行深入分析違規(guī)操作發(fā)現(xiàn)、各種應(yīng)用流量、服務(wù)器負載情況、客戶機上網(wǎng)情況統(tǒng)計分析第4頁，共35頁。審計系統(tǒng)與行為控制產(chǎn)品的區(qū)別網(wǎng)絡(luò)審計系統(tǒng)不影響用戶現(xiàn)有網(wǎng)絡(luò)與應(yīng)用網(wǎng)絡(luò)審計系統(tǒng)提供更為高級的分析能力網(wǎng)絡(luò)審計系統(tǒng)可用于后期取證，對網(wǎng)絡(luò)潛在威脅者予以威懾網(wǎng)絡(luò)審計系統(tǒng)的監(jiān)控是無法逃避的行為控制產(chǎn)品只能面向小型網(wǎng)絡(luò)第5頁，共35頁。實現(xiàn)原理根據(jù)跟蹤檢測、協(xié)議還原技術(shù)開發(fā) 旁路、透明接入，獲取并還原通訊數(shù)據(jù)

2、提供強大的內(nèi)容審計功能網(wǎng)絡(luò)通信的監(jiān)測、審查、調(diào)查取證第6頁，共35頁。InternetInternet內(nèi)網(wǎng)用戶郵件服務(wù)器源鏡像區(qū)域核心交換機TA-WWeb管理界面監(jiān)聽口管理口內(nèi)網(wǎng)區(qū)域ftp服務(wù)器數(shù)據(jù)庫服務(wù)器第7頁，共35頁。TA-W3.0 特點系統(tǒng)集審計服務(wù)器、審計探針于一體，內(nèi)置存儲。百兆設(shè)備內(nèi)置500G存儲千兆設(shè)備內(nèi)置1T存儲支持網(wǎng)絡(luò)行為審計支持數(shù)據(jù)庫行為審計詳細的流量統(tǒng)計第8頁，共35頁。TA-W3.0 特點線速抓包、高速審計查詢、快速報表B/S管理界面，支持https加密，支持串口、SSH下的CLI管理完善的用戶管理、支持CA證書認證第9頁，共35頁。應(yīng)用環(huán)境政府、軍隊機關(guān)的網(wǎng)絡(luò)管理部

3、門 公安、保密、司法等國家授權(quán)的網(wǎng)絡(luò)安全監(jiān)察部門 金融、電信、電力、保險、海關(guān)、商檢、學校、軍工等各行業(yè)網(wǎng)絡(luò)管理中心 大中型企業(yè)網(wǎng)絡(luò)管理中心 第10頁，共35頁。數(shù)據(jù)處理過程第11頁，共35頁。審計事件發(fā)現(xiàn)通過交換機鏡像獲取數(shù)據(jù)基于IP地址與端口、數(shù)據(jù)包內(nèi)容的協(xié)議協(xié)議識別審計事件記錄內(nèi)容包括事件發(fā)生時間、源目的IP、源目的MAC、源目的端口、VLAN ID與各個協(xié)議的詳細信息支持IP地址與人員映射支持IP地址與IP歸屬地映射第12頁，共35頁。數(shù)據(jù)捕獲流量統(tǒng)計HTTP(WebMail)SMTPPOP3FTPP2PMSNQQTELNETSQL SERVERORACLEDB2SYBASEMYSQL

4、INFORMIX接口流量統(tǒng)計數(shù)據(jù)過濾協(xié)議流量統(tǒng)計協(xié)議識別統(tǒng)計各應(yīng)用協(xié)議的數(shù)據(jù)流量，應(yīng)用協(xié)議流量策略中配置了要統(tǒng)計的協(xié)議名稱應(yīng)用協(xié)議流量統(tǒng)計第13頁，共35頁。數(shù)據(jù)捕獲流量統(tǒng)計解析還原接口流量統(tǒng)計數(shù)據(jù)過濾協(xié)議流量統(tǒng)計協(xié)議識別應(yīng)用協(xié)議流量統(tǒng)計編碼轉(zhuǎn)換事件獲取文件還原數(shù)據(jù)庫表名字段名數(shù)據(jù)庫規(guī)則Ip用戶名映射第14頁，共35頁。數(shù)據(jù)捕獲流量統(tǒng)計解析還原事件輸出數(shù)據(jù)呈現(xiàn)編碼轉(zhuǎn)換事件解析文件還原數(shù)據(jù)庫表名字段名數(shù)據(jù)庫規(guī)則Ip用戶名映射事件入庫實時監(jiān)視數(shù)據(jù)統(tǒng)計分析數(shù)據(jù)安全審計實時監(jiān)視統(tǒng)計分析流量監(jiān)控流量統(tǒng)計數(shù)據(jù)第15頁，共35頁。主要功能第16頁，共35頁。安全審計實時監(jiān)視流量統(tǒng)計審計分析統(tǒng)計報表審計策略配

5、置管理系統(tǒng)日志（Web、CLI）報 警聯(lián) 動磁盤空間管理備份還原計劃任務(wù)用戶管理訪問控制主要功能模塊數(shù)據(jù)包捕獲處理數(shù)據(jù)管理第17頁，共35頁。實時監(jiān)視界面顯示最新的n條事件（n的取值范圍1-50）支持手動刷新、定時刷新支持源、目的地址過濾頁面顯示列可配置第18頁，共35頁。實時監(jiān)控界面第19頁，共35頁。安全審計根據(jù)審計條件從數(shù)據(jù)庫中查詢可以靈活配置審計條件數(shù)據(jù)分批查詢，快速返回查詢結(jié)果審計詳情還原協(xié)議內(nèi)容審計結(jié)果保存功能可將查詢結(jié)果寫入pdf文件，打包導出支持網(wǎng)絡(luò)協(xié)議字段和內(nèi)容的關(guān)鍵字審計第20頁，共35頁。安全審計第21頁，共35頁。流量監(jiān)控接口、協(xié)議、應(yīng)用流量統(tǒng)計監(jiān)聽域內(nèi)主機流量、忙閑時

6、段分析接口負載分析接口連接數(shù)分析Vlan信息豐富的圖表、flash，形象的展示統(tǒng)計結(jié)果第22頁，共35頁。流量監(jiān)控第23頁，共35頁。統(tǒng)計報表應(yīng)用協(xié)議報表、數(shù)據(jù)庫報表、流量報表靈活的報表條件報表10秒內(nèi)未生成會轉(zhuǎn)入后臺執(zhí)行，完成后可在統(tǒng)計報表列表中下載目前只支持pdf格式，數(shù)據(jù)量大時生成報表的時間較長，報表內(nèi)容還不夠豐富第24頁，共35頁。數(shù)據(jù)庫審計分析支持歷史與當前關(guān)聯(lián)分析支持統(tǒng)計與明細關(guān)聯(lián)分析支持統(tǒng)計與排名關(guān)聯(lián)分析支持統(tǒng)計與主機關(guān)聯(lián)分析第25頁，共35頁。數(shù)據(jù)庫審計分析第26頁，共35頁。用戶管理角色管理提供對所有系統(tǒng)功能細粒度的權(quán)限控制用戶組管理擁有角色，實現(xiàn)對一組用戶的統(tǒng)一管理用戶用戶

7、優(yōu)先繼承自身角色的權(quán)限，當自身角色權(quán)限未指定時，繼承所在用戶組的角色權(quán)限用戶登錄安全管理控制允許用戶錯誤登錄的次數(shù)，實現(xiàn)對錯誤登錄用戶的鎖定和解鎖功能第27頁，共35頁。配置與管理第28頁，共35頁。配置安裝完成后，需在CLI中配置管理口IP，系統(tǒng)會自動添加一條路由，默認監(jiān)聽口是eth1，之后的配置可在界面完成在【系統(tǒng)管理-網(wǎng)絡(luò)管理】界面中可以進行監(jiān)聽口和路由的配置在策略管理模塊完成其他配置策略管理 ：協(xié)議識別的策略流量策略 ：流量監(jiān)視的IP范圍應(yīng)用協(xié)議流量策略：進行流量監(jiān)視的應(yīng)用協(xié)議ftpdata 、bittorrent、edonkey需手動添加協(xié)議匹配：BT和電驢匹配開關(guān)Webmail：W

8、ebMail模板配置 審計級別：控制網(wǎng)絡(luò)協(xié)議的還原程度，數(shù)據(jù)庫協(xié)議部分字段還原第29頁，共35頁。配置過程第30頁，共35頁。管理功能管理功能主要集中在系統(tǒng)管理模塊系統(tǒng)狀態(tài)：監(jiān)視磁盤空間、CPU、內(nèi)存等使用情況網(wǎng)絡(luò)配置：接口、路由相關(guān)配置服務(wù)器配置：設(shè)備名、DNS、FTP、SMTP、防火墻服務(wù)器配置聯(lián)動規(guī)則配置：防火墻聯(lián)動配置訪問規(guī)則配置：配置可訪問設(shè)備的地址范圍報警處理規(guī)則配置：根據(jù)事件危險級別進行報警的相關(guān)配置服務(wù)管理：系統(tǒng)主要服務(wù)的管理數(shù)據(jù)備份與還原：數(shù)據(jù)庫備份和還原功能磁盤空間管理策略：依據(jù)磁盤利用率觸發(fā)的管理操作系統(tǒng)配置管理：配置保存、導入、導出、恢復，設(shè)備重啟、關(guān)機系統(tǒng)計劃任務(wù)：配置定期自動執(zhí)行的任務(wù)系統(tǒng)升級：升級功能第31頁，共35頁。數(shù)據(jù)備份與還原本地備份備份文件保存在設(shè)備磁